IPよもやま話
IちゃんとP(パパ)と小野田君の会話が続きます。
今日は、パパの「情報漏えいの話」だったわよね。
そうだったね。
愛ちゃん「情報漏えい」って聞いて思い出すことが何かあるかな?
私、余り詳しくないけど、確かソニーのPSN(Play Station Network)利用者情報が漏れて大損害があったってことを覚えているけど・・・。詳しいことは知りません。
そう、そんな事件があったね。
2011年4月に、漏洩した情報はPSN全利用者のおよそ7,700万アカウントと言われているんだが、実際に流出したかどうかは定かではないらしいんだ。
同じ時期にソニーが運営するQriocityでも個人情報が流出した恐れがあるといわれているし、ソニーの子会社であるSony Online Entertainment(SOE)のサービスでも約2,460万件の情報が流出した可能性があるといわれているんだ。
ソニーグループ全体では、累積合計1億件(単位は不明)以上とさらに記録更新したと一部では騒がれたね。
図1 情報漏えい
漏れるだけでなく、
盗まれるものもある。
原因はなんだったんですか?
また、どんな影響があったんでしょうか?
うん、システムに不法侵入されたといわれている。
システムの一時サービス停止に追い込まれたんだ。
いきなり情報漏えい事件の話になったけど、「情報漏えい」そのものを説明すると、どうなるのかしら?
英語では、「 Leak of Information / Information Disclosure 」といってね、その意味は、企業や団体・公的機関等の所持する顧客情報や取引情報、経営情報などの機密情報が、盗難や不注意により外部に流出することなんだ。
世間を騒がせている「情報漏洩事件」の原因の約90%が内部関係者による不注意又は不正な行為であると言われているんだよ。
コンピュータ関係が多いんでしょうね。
会社のLANシステムで見たら、どんなことが原因で漏えいするんでしょうか?
そうだね。
情報漏えい全体の原因は後で話すが、企業のLAN関連に特化してみると、図2のように原因は多岐に渡っているね。
図中の①、②、③については、表1に内容を補足説明した表を持ってきたよ。
図2 企業LANシステムの「社外にデータが漏えいする原因
<補足>
| 項 | 項目 | 内容説明 |
|---|---|---|
| ① | ノートPCや携帯・スマホ・記録メディア等の持ち歩きによる紛失等 | 会社から外出や帰宅時持参などで、どこかに紛失したり、置引や盗難などにあったりする。記録メディアの持ち運びも危険。とりわけ2000年以降の記録メディア(USB/フラッシュメモリ/SDカード等)は小型で紛失し易い。携帯電話やスマホの電話帳なども個人情報であり、ブロック対策がしていないと簡単に漏えいする。 |
| ② | コンピュータウィルスの感染 (ファイル共有ソフト) |
コンピュータウイルスに感染することで、パソコン内部の情報をネットワーク上に公開し、インターネット経由で流出に至るケースも増えている。特にファイル共有ソフト(Winny、Shareなど)を使用することによるリスクを熟知せず安易に個人情報の入ったパソコンにインストールしたり、あるいはファイル共有ソフトの入ったパソコンに個人情報を入れてしまい、ウイルスに感染し流出事故に至るケースが多い。 |
| ③ | 不正アクセス (悪意あるハッカーによる) |
不正アクセスを完全に防止するのは至難。とりわけネットに接続されたPC等に対する「悪意あるハッカー」 による電磁データの窃盗は、営利目的や示威行為から愉快犯まで、テレビ報道などでも後を絶たない。 できるだけのガードをしたいものだ。 |
よく読んだかな。
表1は、関係者が意図しない情報漏えいなんだが、一個人がネットリンチ*1の一環として他人の情報を意図的に漏えいさせるというケースもあるしね。
結構いろいろあるのね。
これらのガード(対策)ってないの?
うん、いろいろあるね。
簡単に説明しよう。
まず、「電子メール」だが、専用ツール(誤配信対応、送信先制限、自動暗号化、ログ記録)の採用とスパムフィルター(フィッシング/マルウェアの遮断)*2の付加、そしてメールアーカイブ*3等だ。
そうですね。私の会社では「メールの送信先規制」をしています。相手のアドレスが「・・ne.jp」のメールは規制して発信できません。着信はOKですが。
それと、個人のPCではプロバイダのオプションサービスで「迷惑メール検出サービス」を契約しています。
次に「可搬型記録媒体」、例えばUSB等だが、暗号化、使用禁止や制限、等があるね。
それについても、私の会社では「USBの使用禁止」です。
大きな会社では、「シンクライアント」*4を採用して、端末のPCにメモリを持たせない(データを保存させない)方式をとっているようですね。
ほほう。流石小野田君、「シンクライアント」を知っていたかね。
シンクライアントって何?
うん、今日は脱線するので、別に機会をつくって話すことにしよう。
話を続けるよ。
次は、インターネットだが、アクセス制限(特定のサイトへのアクセスを遮断)などが現実的だね。
これも私の会社で実施しています。
ネット検索の目的が、業務に関係ないサイト、つまり私用目的と思われるサイトへの接続が遮断されるんです。
えーっ!
じゃあ、「今度行くゴルフ場の検索」などしたとき、私用かもしれないと思われ遮断されちゃうの?
そうです。
現実にそういう問題は起きましたね。
いろいろ弊害もでるね。
最後にPC本体についてだが、これは、小野田君が言った「シンクライアント」で端末にデータを残さないことが大きなポイントになるね。
USBの使用制限・使用禁止も有効だ。
おとうさん。
さきほど、企業全体から見た情報漏えいについて「後から話す」といわれましたが、図2、表1のLANシステム以外からの情報漏えいは、結構あるんですか?
そうなんだよ。
LANとかPCとかに話題がいったが情報漏えいの割合は、何と図3のように「紙ベースが主役」で「誤操作や管理ミスも主役」なんだね。
図3 情報漏えいの原因(経路と理由)
出典:JNSA「2010年情報セキュリティインシデントに関する調査報告書
【上半期速報版】」(2011年2月)より作成
図3から分かるように、原因の方もベスト3が「誤操作」「管理ミス」「紛失・置忘れ」と人間の不注意のようなもので、これが全体の8割以上(81.2%)を占めているんだね。
これは予想外・想定外でした。
会社に戻ったら、社内に注意を喚起しなくちゃいけませんね。
